Cisco اختراق الشبكة عبر حساب Google للموظف المخترق
يقول عملاق الشبكات إن المهاجمين حصلوا على وصول مبدئي إلى عميل VPN لأحد الموظفين عبر حساب Google تم اختراقه.
كشفت Cisco Systems عن تفاصيل اختراق مايو من قبل مجموعة Yanluowang ransomware والتي استفادت من حساب موظف مخترق على Google.
وصف عملاق الشبكات الهجوم بأنه “حل وسط محتمل” في منشور يوم الأربعاء بواسطة ذراع أبحاث التهديدات Cisco Talos الخاص بالشركة.
كتبت سيسكو تالوس في تحليل مطول للهجوم: “أثناء التحقيق ، تم تحديد أن بيانات اعتماد أحد موظفي Cisco قد تم اختراقها بعد أن تمكن المهاجم من التحكم في حساب Google الشخصي حيث تتم مزامنة بيانات الاعتماد المحفوظة في متصفح الضحية”.
Infosec Insider Newsletter
دفعت تفاصيل الطب الشرعي للهجوم باحثي سيسكو تالوس إلى إرجاع الهجوم إلى مجموعة يانلووانج للتهديد ، والتي يحتفظون بصلاتهم بكل من UNC2447 و Lapsus $ cybergangs سيئة السمعة.
في النهاية ، قالت شركة Cisco Talos إن الخصوم لم ينجحوا في نشر برامج الفدية الضارة ، ولكنهم نجحوا في اختراق شبكتها وزرع كادر من أدوات القرصنة الهجومية وإجراء استطلاع داخلي للشبكة “يُلاحظ بشكل شائع مما أدى إلى نشر برامج الفدية الضارة في بيئات الضحايا”.
تغلب على MFA للوصول إلى VPN
كان جوهر الاختراق هو قدرة المهاجمين على اختراق أداة Cisco VPN الخاصة بالموظف المستهدف والوصول إلى شبكة الشركة باستخدام برنامج VPN هذا.
“تم تحقيق الوصول الأولي إلى Cisco VPN عبر الاختراق الناجح لحساب Google الشخصي لموظف Cisco. قام المستخدم بتمكين مزامنة كلمة المرور عبر Google Chrome وقام بتخزين بيانات اعتماد Cisco الخاصة به في متصفحه ، مما يتيح مزامنة هذه المعلومات مع حساب Google الخاص به ، “كتب Cisco Talos.
مع وجود بيانات الاعتماد في حوزتهم ، استخدم المهاجمون بعد ذلك العديد من التقنيات لتجاوز المصادقة متعددة العوامل المرتبطة بعميل VPN. تضمنت الجهود تصيدًا صوتيًا ونوعًا من الهجمات يسمى إجهاد MFA. تصف Cisco Talos تقنية هجوم التعب MFA بأنها “عملية إرسال عدد كبير من طلبات الدفع إلى الجهاز المحمول للهدف حتى يقبل المستخدم ، إما عن طريق الخطأ أو لمحاولة إسكات الإخطارات المتكررة التي يتلقاها.”
نجحت هجمات MFA الخادعة ضد موظف Cisco في النهاية وسمحت للمهاجمين بتشغيل برنامج VPN كموظف Cisco المستهدف. كتب الباحثون: “بمجرد حصول المهاجم على وصول مبدئي ، قاموا بتسجيل سلسلة من الأجهزة الجديدة لـ MFA والمصادقة بنجاح على Cisco VPN”.
وقالوا: “صعد المهاجم بعد ذلك إلى الامتيازات الإدارية ، مما سمح له بتسجيل الدخول إلى أنظمة متعددة ، مما أدى إلى تنبيه فريق الاستجابة للحوادث الأمنية من Cisco (CSIRT) ، والذي استجاب لاحقًا للحادث”.
تضمنت الأدوات التي استخدمها المهاجمون LogMeIn و TeamViewer وكذلك أدوات الأمان الهجومية مثل Cobalt Strike و PowerSploit و Mimikatz و Impacket.
بينما يعتبر أسلوب العائالت المتعددة MFA وضعًا أمنيًا أساسيًا للمؤسسات ، فهو بعيد عن الحماية من الاختراق. في الشهر الماضي ، كشف باحثو Microsoft النقاب عن حملة تصيد احتيالي ضخمة يمكنها سرقة بيانات الاعتماد حتى إذا كان المستخدم لديه مصادقة متعددة العوامل (MFA) ممكّنة وحاول حتى الآن اختراق أكثر من 10000 مؤسسة.
تسلط Cisco الضوء على استجابتها للحوادث
رداً على الهجوم ، طبقت Cisco إعادة تعيين كلمة المرور على مستوى الشركة على الفور ، وفقًا لتقرير Cisco Talos.
وكتبوا: “النتائج التي توصلنا إليها والحماية الأمنية اللاحقة الناتجة عن تفاعلات العملاء هذه ساعدتنا على إبطاء واحتواء تقدم المهاجم”.
قامت الشركة بعد ذلك بإنشاء توقيعين من Clam AntiVirus (Win.Exploit.Kolobko-9950675-0 و Win.Backdoor.Kolobko-9950676-0) كإجراء احترازي لتطهير أي أصول مخترقة إضافية محتملة. توقيعات Clam AntiVirus (أو ClamAV) عبارة عن مجموعة أدوات لمكافحة البرامج الضارة عبر الأنظمة الأساسية قادرة على اكتشاف مجموعة متنوعة من البرامج الضارة والفيروسات.
عادةً ما يستخدم الفاعلون المعنيون بالتهديدات تقنيات الهندسة الاجتماعية لتسوية الأهداف ، وعلى الرغم من تكرار مثل هذه الهجمات ، لا تزال المنظمات تواجه تحديات في التخفيف من تلك التهديدات. يعد تعليم المستخدم أمرًا بالغ الأهمية في إحباط مثل هذه الهجمات ، بما في ذلك التأكد من معرفة الموظفين بالطرق المشروعة التي سيتواصل بها موظفو الدعم مع المستخدمين حتى يتمكن الموظفون من تحديد المحاولات الاحتيالية للحصول على معلومات حساسة “.